Kostenfrei anrufen
Ansprechpartner Datenrettung
Sonderkonditionen für Hochwasseropfer
Kostenlose Analyse & 50% Rabatt auf die Datenwiederherstellung
Datenrettung Ransomware & Viren

Viren, Trojaner und insbesondere Ransomware sind mittlerweile Alltag im Bereich Cybercrime. Betroffene stellen eine Ransomware-Attacke meist durch das Vorfinden von verschlüsselten Dateien fest. Dabei erfolgt der Angriff bzw. die Verschlüsselung der Dateien nicht immer sofort nach der Ausbreitung des Trojaners.

Manchmal erfolgt die eigentliche Encryption durch das Schadprogramm verzögert zu einem bestimmten Zeitpunkt. Bis dahin wird die virtuelle Infrastruktur analysiert um möglichst viele Ressourcen und Dateien zu verschlüsseln.

Sind Webserver von einer Cyberattacke betroffen, sind nicht nur die internen Netzwerke betroffen sondern auch der Außenauftritt (inkl. Shopsystem etc.).

Lars Müller | Technischer Leiter
Datenrettung Ransomware & Viren
Wir bieten Ihnen bei Recoverylab
  • Eigenes Reinraumlabor & Ersatzteillager
  • 95% Datenrettungsgarantie
  • Qualitätssicherung nach ISO 9001:2015
  • Diskretion & Datenschutz nach DSGVO
  • Persönlicher Ansprechpartner
Pfeil Datenrettung anfragen

Die Datenrettung bzw. das Wiederherstellen der Datenstrukturen erfolgt sehr individuell. Wir können bei einem Angriff durch Kryptotrojaner keine pauschale Einschätzung zum Aufwand und zu den Möglichkeiten liefern.

CTB-Locker-Screenshot-Erpressung-des-Users-nach-Befall

Vielmehr geht es um die genaue Analyse des Systems und der Datenträger, auf dem der Angriff erfolgte. Durch ein Reverse Engineering des Cryptotrojaners gelingt uns in einigen Fällen der Zugriff auf den AES-Sitzungsschlüssel bzw. andere Zugänge, um den Datenbestand letztendlich wieder zu entschlüsseln.

Wir verfügen über Kryptografiespezialisten, die sich ausschließlich mit der Entschlüsselung von Dateien und dem Berechnen von Schlüsseln beschäftigen.

Funktionsweise von Ransomware

Je besser der Technische Aufbau und Ablauf von Ransomware Attacken bekannt ist, umso höher sind die Chancen für Ihre Datenwiederherstellung!

Zunächst erfolgt der initiale Eintritt der Schadsoftware in fast allen Fällen durch Endgeräte, also s.g. Devices. Das kann beispielsweise über eine infizierte E-Mail erfolgen. Diese E-Mail kann durchaus personalisiert auf die Branche, das Unternehmen oder auch auf einzelne Personen worden sein. Meist sind Anhänge, die ausführbaren Code enthalten der Beginn einer Ransomware Attacke.

Ablauf einer Datenverschlüsselung durch Kryptotrojaner

Aufbau einer sicheren Kommunikationssitzung
Über einen asymmetrischen RSA-Schlüssel (öffentlich) wird eine sichere Netzwerkverbindung zum Cybercrime-Server über das Internet aufgebaut. Durch die gesicherte Verbindung (ähnlich wie bei einer https// Webseite) ist die Kommunikation, die zwischen dem Opfer-System und dem Angreifer-Server erfolgt, nicht im Klartext analysierbar. Deshalb ist dieser Schritt auch nicht durch eine normale Firewall feststellbar.

Verschlüsselung des Opfer-Systems
Nach Aufbau der Kommunikationsverbindung wird ein weiterer öffentlicher RSA-Schlüssel vom Command and Control Server des Angreifers angefordert. Aus diesem Schlüssel wird durch die Schadsoftware ein so genannter Sitzungsschlüssel (256-Bit) generiert. Mit diesem Schlüssel erfolgt dann der Verschlüsselungsprozess der Dateien (der eigentliche Schaden für das Opfer) im 256-Bit AES Verfahren. Die Encryption erfolgt symmetrisch, das heißt schnell und effizient.

Sicherung des Erpressungsschlüssels
Nach Abschluss der Datenverschlüsselung erfolgt eine weitere Verschlüsselung, nämlich die des geheimen (lokalen) 256-Bit AES Schlüssels. Dieses Chiffrieren erfolgt wieder über den asymmetrischen öffentlichen Schlüssel (aus Punkt 1). Der "verschlüsselte Schlüssel" wird gemeinsam mit den verschlüsselten Dateien und Ordnern lokal gespeichert.
Der AES Sitzungsschlüssel (der wichtigste für den Anwender!) wird danach aus dem RAM gelöscht, damit möglichst keine Hinweise mehr auf die genaue Vorgehensweise vorhanden sind.

Entschlüsselung (theoretisch nach Zahlung des Lösegelds)
Um wieder an normal lesbare Dateien zu gelangen, ist eine Decryption mit dem AES Sitzungsschlüssel notwendig. Diesen Schlüssel kann der Erpresser durch seinen privaten Schlüssel (asymmetrisch) aus den zuvor auf dem Opfersystem gespeicherten Dateien entschlüsseln. Sobald der AES Sitzungsschlüssels vorliegt, ist eine Wiederherstellung möglich.

Wichtige Hinweise für Ransomware-Betroffene
  • Folgen Sie keinesfalls den direkten Anweisungen der Erpresser.
    (Auch wenn teilweise sogar ein telefonischer Kontakt möglich ist, können Sie Zusagen im Vorfeld nicht prüfen.
  • Oft sind Bitcoin Adressen bereits verwaist, so dass Ihre Zahlung niemals ankommt. Bitcoin Zahlungen können technisch bedingt auch nicht rückgängig gemacht werden.
  • Setzen Sie sich mit uns schnellstmöglich in Verbindung, damit wir das Dateisystem analysieren können.
  • Zur Strafverfolgung empfehlen wir das Einschalten des Verfassungsschutzes. Dadurch können Sie eine Geheimhaltung sicherstellen, was beim Einsatz durch Polizei/LKA/Staatsanwaltschaft aufgrund der behördlichen Vorgehensweise nicht möglich ist.
  • Im Sinne des Schutzes Ihrer Unternehmensinformationen sollten Sie unbedingt die Geheimhaltung vorher mit Ihrer juristischen Direktion abstimmen.

Update 09/2018: Ransomware GandCrab V4 häufig als getarnte Bewerber E-Mail im Umlauf.

Datenrettung bei Verschlüsselung von GandCap Trojaner - Bewerbung als E-Mail mit Anhang

Der als Bewerbermail getarnte Trojaner wird direkt an Personalabteilungen adressiert. Auf den ersten Blick könnte es durchaus unverdächtig sein, vor allem wenn Unternehmen wie in der aktuellen Personallage regelmäßig Stellenausschreibungen publizieren. Bewerber senden ihren Lebenslauf, Beurteilungen und Zeugnisse oft per E-Mail. Warum auch nicht, vor allem wenn das so platzsparend per Archivformat ZIP möglich ist. Umso heimtückischer ist es, wenn sich plötzlich in der ZIP Datei ein Virus befindet. Sollten Sie eine E-Mail mit einer Bewerbung und zwei Dateien im Anhang erhalten, seien Sie vorsichtig! Bei GandCrab handelt es sich um eine .exe Datei, die zunächst noch aktiv ausgeführt werden muss. Erst dann startet sich der VBS Downloader und installiert GandCrab auf dem Windows PC. Der Verschlüsselungsvorgang erfolgt allerdings im gesamten Netzwerk, welches über den PC erreichbar ist. Den verschlüsselten Dateien wird die Dateiendung ".krab" angehangen. Daran lässt sich schnell erkennen, ob es sich um den Cryptotrojaner GandCrab handelt.

CTB-Locker-Screenshot-Erpressung-des-Users-nach-Befall

Digitale Schädlinge gibt es mittlerweile unzählige - die wirtschaftlichen Schäden durch befallene Computer sind enorm. Neben Spionage (Wirtschaftsspionage) und Datendiebstahl werden oft auch die Anwendungsdaten von infizierten Datenträgern und Laufwerken teilweise oder vollständig gelöscht oder zerstört. Besonders trickreich gehen so genannte Verschlüsselungstrojaner vor. Eine seit 2014 bekannte Version nennt sich "CTB Locker".

Die Infizierung erfolgt auf dem klassischen Weg, meist durch den Aufruf infizierter Webseiten. Nach dem Befall wird der Benutzer über ein Pop-up Fenster über den Befall und die damit einhergehende Encryption sämtlicher auf der Festplatte oder SSD befindlichen Dateien informiert. Im mehrstufigen "Assistenten" wird dann die Möglichkeit eröffnet, gegen Zahlung eines bestimmten Betrages (Lösegeldes) eine Entschlüsselung der Daten herbeizuführen.

Das Zahlungsmittel ist in der Regel die Cryptowährung BitCoin. Es werden zwischen 2 und 10 Bitcoins, in einigen Fällen jecoch höhere Werte verlangt. Die Zahlung hat jedoch angeblich innerhalb von 15-30 Minuten zu erfolgen, damit die einwandfreie Rückgabe der Daten ermöglicht wird. Der CTB-Locker, allgemein auch als "Ransomware Onion” bekannt, verwendet selbst verschlüsselte Verbindungen über das Tor-Netzwerk und so genannte Onion-Adressen, die eine Verfolgung durch Behörden erschweren. Bereits zuvor kursierten andere Crypto-Trojaner wie Cryptolocker und CryptoWall im Internet und sorgten bei den Betroffenen für fatale Schäden durch die Verschlüsselung der Daten.

Sonstige Ransomware - Ist eine Datenrettung möglich?

Eine generelle Aussage ist dazu schwer zu treffen. Bei der Ransomwareverschlüsselung hängt das zum Einen von der Art der Verschlüsselungstechnologie ab und zum Anderen von der Programmierung des Schädlings. Wir haben eine Liste aufgestellt von weiteren uns bekannten Viren / Trojanern / Ransomware und erfolgter Datenrettung.

  • Zyka Ransomware (auch als CryptoCat, Crypto1CoinBlicker, Suppteam01@India.com ), Software kann gut versteckt werden aufgrund des kleinen Speicherbedarfs, meist über SPAM Mails verbreitet
  • SamSam (asymmetrishce Encryption), zielt v.a. auf Server ab
  • Defray ransomware (RSA-2048 Key, v.a. in UK und USA verbreitet)
  • Indrik (oft durch E-Mail Anhang ausgelöst, unterschiedliche Lösegeldforderungen)
  • KillDisk (v.a. auf Industrie und öffentliche Einrichtungen ausgerichtet)
  • SnakeLocker (weitestgehend in Deutschland und Europa, Dateiendungen .schlange bzw. .tgif sind typisch, greift auf lokale Netzlaufwerke, externe Datenträger usw. zu
  • Cry-Locker (v.a. über Mailanhänge verbreitet, Social Hacking!, gute Prozesstarnung weshalb der Schädling oft unbemerkt bleibt)
  • CerberTear (basiert auf Cerber, meist durch Mails versendet, in Makros von Office Dokumenten wie Powerpoint Präsentationen integriert)
  • Venis Ransomware (offiziell im Darknet vertrieben, kann muss aber nicht verschlüsseln, durch regelmäßige Serverkommunikation könnten Updates nachgeladen werden und eine Datenverschlüsselung erwirken)
  • Locky Trojaner (z.B. auch Derivate mit .aesir-Dateiendung, Verbreitung meist über Spam)
  • Mischa Ransomware (verschlüsselte Dateien mit den Endungen .cRh8, .3P7m, .aRpt, .eQTz, .3RNu sind typisch)
  • Crysis (auch verschiedene Verwandte Trojaner wie AiraCrop, gern in Makros versteckt)
  • TeslaCrypt (auch oft als CryptoLocker-v3 bezeichnet, hat mit der "originalen" Version nichts gemeinsam, Dateiendungen .ecc, .vvv, .ccc sind auffällig)
  • Winnix Cryptor (oft durch SPAM Nachrichten verbreitet, hohe Forderung von 4 Bitcoins typisch)
  • Turkish Ransomware (auch als Scarab bekannt, Anweisungen auf dem infizierten PC werden in Türkischer Sprache dargestellt)
  • Gryphon (über SPAM verteilt, oft in Wordmakros)
  • Pickles (als "Trump Locker Ransomware" dargestellt, basiert auf VenusLocker)

Welche Datenträger sind von Infektion betroffen?

Die (ungewollte) Verschlüsselung erfolgt bei Virenbefall auf allen verfügbaren Datenträgern, unter anderem von:

  • Festplatten (auch Datenrettung nach Reparatur der HDD/ bei mechanischem Defekt + verschlüsselten Daten)
  • RAID System
  • NAS/ Netzwerkspeicher
  • Server
  • SSD / andere Flash-Speicher

Welche Daten werden vom Virus meist verschlüsselt?

Durch den Befall von Encryption-Schädlingen werden je nach Art unterschiedliche Datentypen verschlüsselt. Typisch sind vor allem folgende Bereiche:

  • einzelne Dateien
  • Auswahl bestimmter Dateitypen (z.B. alle jpg Bilddateien bzw. aufgrund des Dateityps vermeintlich wichtige Dateien)
  • bestimmte Ordner / Verzeichnisse (z.B. Eigene Dateien des Benutzers)
  • vollständiges Laufwerk (Volume/ Partition)

Häufige Fragen und Antworten

Gibt es Chancen zur Wiederherstellung von Daten, die durch Trojaner beschädigt oder verschlüsselt wurden?

Ja und Nein. Für die Wiederherstellung ist es entscheidend, welche Art von Trojaner den Schaden verursacht hat und in welcher Weise die Daten verschlüsselt wurden. Der Datenretter sollte sehr erfahren und mit modernen Verschlüsselungsalgorithmen und deren Aufbau vertraut sein.

Wie lange dauert eine Datenentschlüsselung und Datenrettungen von durch Krypto-Trojaner verschlüsselten Daten?

Das Entschlüsseln von Daten und das Retten der Dateien ist ein sehr aufwändiges und spezifisches Verfahren. Die Dauer zur Datenwiederherstellung ist meist nicht direkt feststellbar, hängt von vielen Faktoren ab und kann unter Umständen (v.a. im Fall von sicheren Verschlüsselungsverfahren) über mehrere Wochen dauern. In einigen Fällen ist es nicht möglich, die Dateien wiederherzustellen.

Sollten Sie von einem Datenretter eine feste Lieferzusage erhalten, handelt es sich vermutlich nicht um ein realistisches Angebot, da jeder Kryptografie-Experte genau weiß, dass je nach Algorithmus eine Wiederherstellung sehr zeit- und ressourcenaufwändig sein kann.

Wie kann ich mein Firmennetzwerk gegen Ransomware schützen?

Cyberkriminelle gehen zunächst standardisiert vor und suchen typische Schwachstellen. Es gibt nur einen Ausweg, der Bedrohung oder Gefahr einem Erpresser ausgeliefert zu sein: Effektive Maßnahmen zur Verbesserung der IT-Sicherheit, um Nutzer, Rechner und das Dateisystem versuchen zu schützen. Dazu gehören ein Ransomware-sicheres Backup, Awareness-Schulungen für Mitarbeiter und Anwender und regelmäßige Schwachstellenanalysen.

Durch diese einfachen Tipps können Fehler, die zur Bedrohung führen können, vermieden werden.

Kann man die Verschlüsselung von Backups durch Ransomware verhindern?

Die großen Softwarehersteller für Backup Programme haben längst auf Malware Bedrohungen reagiert. Um einen Ausfall zu verhindern, muss die Verbindung zu den Speichermedien des Datensicherungsspeichers getrennt sein. Über den Nutzer im Betriebssystem darf kein Zugriff möglich sein. Zusätzlich zu File-basierten Datensicherungen sollten auch systemseitige Snapshots als zusätzliche Backups erfolgen.

Bei Cloud-Speicher wie z.B. Onedrive von Microsoft ist eine Systemwiederherstellung jederzeit möglich.

Ist es ratsam, eine Lösegeldzahlung zu leisten?

Die Entwickler von Ransomware versuchen sicherzustellen, dass Dateien nicht ohne weiteres wiederherzustellen sind. Der Recovery-Prozess ist aufwändig und es gibt nur wenige Dienste, die über ausreichendes Wissen verfügen, Schwachstellen im Schadcode zu ermitteln.

Ob auf eine Lösegeldforderung eingegangen werden sollte oder nicht ist schwer zu sagen. Durch den massiven Druck, der bei einem Ausfall der Informationstechnik auf dem Unternehmen lastet ist die Motivation hoch, das Geld zu zahlen um dann ein Programm mit Code zur Entschlüsselung und Systemwiederherstellung zu erhalten. Uns sind auch Szenarien bekannt, bei denen trotz der Zahlung keine vollständige Entschlüsselung oder Kopie der Dateien erfolgte. Außerdem besteht immer die Möglichkeit, dass erneute Versuche zur Erpressung folgen.

Wie kann ich mich als Privatnutzer vor Viren, Trojanern oder Ransomware schützen?

Unabhängig, ob Laptop, externe Festplatte oder PC, es gibt keinen perfekten Schutz für Windows-Systeme. Doch um den hohen finanziellen Schaden nach dem Befall durch Viren, Trojaner oder Würmer zu umgehen, lohnt es sich, alle Programme und Betriebssysteme auf dem aktuellsten Stand zu halten. Zwielichtige Quellen für Software und andere Daten sind ein zusätzliches Einfallstor. Tritt trotzdem einmal der Ernstfall ein, nutzen Sie den Service von Experten. Diese rekonstruieren zerstörte Datenbanken, retten Dateien und Ordner oder suchen mit eigens entwickelten Werkzeugen nach längst gelöschten Daten.

Wir sind auf die Datenrettung mit Datenentschlüsselung spezialisiert und bieten professionelle Hilfe zur Datenwiederherstellung.

Express-Datenrettung

In dringenden Fällen ermöglichen wir schnelle Hilfe durch unseren Express-Service. Das bedeutet, dass wir den betroffenen Computer oder Datenträger noch am gleichen Tag bei Ihnen abholen und eine Diagnose durchführen. Nachdem feststeht, welcher Schaden vorliegt, erhalten Sie umgehend ein Angebot zur Datenrettung der Firmendaten. Nach der Freigabe der Kosten setzen wir die Arbeit unmittelbar fort. Die Bearbeitung erfolgt dann durchgehend im 24h-Service auch am Wochenende oder an Feiertagen. Die Realisationszeit ist bei verschlüsselten Daten nicht immer exakt zu ermitteln. Bitte beachten Sie dazu den folgenden Absatz.

Fallstudie CTB Locker - Erfolgreiche Datenrettung

Trojaner-CTB-Locker-verschluesselte-Daten-auf-SSD-Samsung-840Evo-Datenrettung-RecoveryLab

Nachdem wir eine virenverseuchte interne SSD aus einem Notebook eines Kunden erhielten, der einen Befall durch den Trojaner CTB Locker festgestellt hatte, führten wir zunächst eine Diagnose des Schadens innerhalb des Dateisystems durch. Schnell bestätigte sich der Verdacht und das Ausmaß des Schadens konnte ermittelt werden. In mehreren aufwändigen Verfahren wurde durch unsere Kryptographie Experten ein Workflow entwickelt, der die Wiederherstellung ermöglichte. Diese waren zuvor im Verfahren "Elliptic Curve Diffie–Hellman" (ECDHE) nahezu unwiderbringlich verschlüsselt worden. Normalerweise setzen Trojaner auf AES oder RSA Verschlüsselungen, die ebenfalls sehr sicher, doch bei weitem nicht so stark sind, wie das ECDHE Verfahren. Es konnten alle Daten einwandfrei und konsistent (lesbar) wiederhergestellt werden, so dass der wirtschaftliche Schaden bei unserem Kunden stark verringert wurde.

Benötigte / wiederhergestellte Daten: Excel, PDF Dokumente und kompletter Ordner mit "Eigenen Dateien"

Erste Hilfe nach Datenverlust: Was kann ich tun, wenn ich einen Verschlüsselungs-Trojaner festgestellt habe?

  • Zunächst sollte Ruhe bewahrt werden  - kein voreiliges Handeln!
  • Zahlen Sie zunächst keine Lösegelder an Kriminelle
  • Schalten Sie den Computer direkt aus und starten Sie das Gerät nicht erneut!
  • Kontaktieren Sie einen erfahrenen Kryptografie-Experten zur Datenrettung
  • Unternehmen Sie möglichst keine Experimente mittels Antivirensoftware oder anderen Software-Tools, im schlimmsten Fall kann es zur totalen Zerstörung der Daten kommen und damit zum unwiederbringlichen Datenverlust.

Wie kommen Malware, Viren & Trojaner auf den Computer?

Trojaner und Viren - Datenrettung

Wenn Datenretter einen Auftrag zur Wiederherstellung von Tablets, Laptops oder PCs wegen Virenbefall bekommen, steckt meist ein Trojanisches Pferd dahinter. Der Hauptunterschied zwischen einem Virus und einem Trojaner besteht darin, dass Letztere nicht selbstständig auf den Rechner gelangen, sondern sich in Form einer Anwendung oder Datei tarnen. So werden oft Programme um eine böswillige Komponente erweitert. Ob Daten teilweise oder vollständig gelöscht oder nur verschlüsselt und nicht anzeigbar sind variiert. Der Schaden ist immens, wenn Arbeitsmaterialien unbrauchbar werden. Doch durch die Möglichkeiten von Spezialisten gelingt ein Wiederherstellen in vielen Fällen auch von stark beschädigten Inhalten.

1) Unbemerkte Einfallstore

Häufig müssen Daten wiederhergestellt werden, weil “Dropper“, also trojanische Pferde, die Systeme von Kunden zerstört haben. Sie heften sich an Dateien aus Internettauschbörsen oder geben vor, eine für den Benutzer interessante Datei zu sein. Dann laden sie einen Virus auf den Computer, wenn sie gestartet werden. Dieser zerstört dann wichtige Dateien und Ordner oder schreibt diese um. Datenretter sind häufig mit Kunden konfrontiert, die sich nicht erklären können, wie trotz eines Virenscanners die Festplatte kontaminiert wurde.

2) Trojaner als falsche Freunde

Andere Trojaner befallen vor allem Tablet-PCs oder Smartphones, auf die seltener Dateien und Programme heruntergeladen werden. Der Angriff findet dann über eine befallene Website oder über einen befallenen Webserver statt und nutzt Lücken des Betriebssystems oder des Browsers aus. Oft werden dabei Trojaner unbemerkt an eine Datei gehängt, die innerhalb der Webseite heruntergeladen werden muss. Das Infizieren geschieht völlig unbemerkt. Daraufhin installiert sich der Trojaner und beginnt mit seiner Arbeit: dem Ausspionieren und Löschen von Daten. Bemerkt wird das erst, wenn ein Aufruf von Systemdateien oder Benutzerdaten nicht mehr möglich ist.

3) Der Wolf im Schafspelz

Oft werden Anwender von Pop-up-Windows bestimmter Websites betrogen.

Diese zeigen an, dass ein Add-on oder ein Virenschutz heruntergeladen werden muss. Statt dem vermeintlichen Helfer wird vom Nutzer dann der Trojaner, Wurm oder Virus auf den Computer geladen. Anti-Virenprogramme zerstören häufig (versehentlich) die Dateien des Wirts, in die sich das Virus eigentlich unbemerkt einnisten sollte. Gibt es kein Back-up der Dateien, können meist nur noch Datenretter aus den verfügbaren Dateibausteinen ein System wieder herstellen.

4) Erpressung mit schlechtem Gewissen.

Andere Trojaner erpressen ihre Opfer mit Lösegeld um deren Dateien. Oft werden die Daten in einem Crypto-Code so verschlüsselt, dass nur Experten die Inhalte wieder lesbar machen können. Um gelöschte bzw. verschlüsselte Dateien wiederherzustellen sind aufwendigen Verfahren zur Entschlüsselung mittels eigens entwickelter Algorithmen notwendig. In Abhängigkeit davon, ob gelöschte Daten überschrieben wurden oder wie effektiv die Daten verschlüsselt sind, variiert der Aufwand für das Wiederherstellen der Festplatte.

Autor: Stefan Berger
Stefan Berger ist seit Ende der 90er Jahre in der IT-Branche zugegen. Seine Spezialgebiete sind IT-Sicherheit, Datenrettung und IT-Forensik im Zusammenhang mit Datenwiederherstellung. Für RecoveryLab.de schreibt er als Experte Fachartikel und Serviceartikel, um Betroffenen von Datenverlust ein sinnvolles und umfangreiches Hilfsangebot zur Wiederherstellung von Daten zu ermöglichen.